供應鏈攻擊又添一樁,證實汽車軟管製造廠商Nichirin遭勒索軟體攻擊,自動生產控制停罷

總部位於日本的汽車軟管製造商 Nichirin(株式會社日輪)週三(6/22)表示,其美國子公司Nichirin -Flex USA 在2022年6月14日遭勒索軟體攻擊,該公司在檢測到其網路上的未經授權存取並將操作切換到手動模式後立即做出反應,中斷了其電腦化生產控制,必須手動完成訂單,影響了產品分配及出貨。

勒索軟體攻擊說明了供應鏈安全在所有行業和部門中的重要性日益增加,在沒有日輪汽車零部件的情況下,可引起其他在供應鏈的企業無法完成訂單並滿足消費者的需求。

根據歐盟網路安全局 (European Union Agency for Cybersecurity-ENISA) 的數據,66%的供應鏈攻擊集中在供應商的程式碼上,其次是智慧財產權、個人識別資訊 (PPI)、內部流程圖和緊迫的生產時間線等,尤其吸引那些有經濟動機的駭客。

Nichirin在新聞稿中表示,承諾調查此次攻擊對合作夥伴和客戶的影響,並承諾及時披露任何必要的資訊。Nichirin 也在其官網上請求客戶提高警覺,留意聲稱與Nichirin有關的電子郵件,呼籲電郵收件人不要打開附件。

勒索軟體對汽車行業來說是一個日益嚴峻的挑戰,2021 年 2 月,起亞汽車(Kia)美國公司遭DoppelPaymer加密,關鍵性IT被破壞,網路廣泛性斷線,影響其UVO link的行動應用程式,支付系統,電話服務及口網站等的運作; 2021 年 12 月Volvo富豪汽車疑遭Snatch勒索軟體加密; 2022 年 3 月 日本汽車零件大廠電裝公司(Denso) 遭潘朵拉勒索軟體攻擊;同月為美國生產汽車剎車管和燃油管的三桜工業遭Conti勒索軟體毒手,現代派沃特(Hyundai Powertech) 也遭Cuba勒索軟體入侵等,可見勒索軟體對瞄準汽車生產中必不可少的零部件供應商表現出越來越大的興趣。

最好的進攻是良好的防守,在管理供應鏈也是如此。在製定管理供應鏈中斷的策略時,建議考慮以下幾點:

*制定供應鏈應急計劃

*建立庫存

*進行供應鏈漏洞稽核

*確定備用供應商

*多元化供應基地

*與物流專家合作

*採用風險評估工具

竣盟科技已經檢查了幾個主要勒索軟體組織的揭秘網站,但目前沒有一個組織聲稱攻擊了Nichirin。

竣盟科技資安快訊:LockTaiwan 勒索軟體獨家追蹤

竣盟科技資安快訊: 根據日前國外知名的資安網站 Malware Hunter Team 惡意軟體獵人團隊發佈的推文,以及其專家的分析,可看出雖然攻擊臺灣企業的惡意軟體是在 5月 4日開始攻擊,但其實他們已經在 5月 3日編譯完成,而在撰寫本文時,僅知在台灣的企業受到影響。

以下為臺灣企業最近收到的勒索信,名稱為: How to Unlock Files.txt

圖一

圖二

圖三

部份資訊已被外媒 Cyberscoop 報導,他們相信有最少 2個惡意程式樣本,另根據分析文章的作者 Amigo-A 表示,已經從事件檢測與回應中,命名此惡意軟體為 LockTaiwan,由於此乃新型勒索惡意軟體,國內尚未有參考資料。

類似 LockTaiwan 這種惡意軟體常與免費的第三方程式捆綁在一起傳播,這些程式一般透過不可靠的網站下載。另外當您打開或點擊帶有惡意程式郵件內容時,病毒也可能會感染到您的電腦上。所以在打開附件或點擊可疑連結之前,使用額外安裝的病毒掃瞄程式檢查是非常重要的。已感染的特洛伊木馬和惡意軟體下載程式,也可能會在您的PC上感染此病毒。瀏覽色情或 P2P種子網站,以及下載破解軟體或遊戲等等,都可能會將這類病毒帶入您的系統。

應對措施

  • 由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。
  • 向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。
  • 千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。
  • 針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。
  • 除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。
  • 佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。
  • 對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。
  • 透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

以上為竣盟科技您整理出來的資料

資料來源請參考 MalwareHunterTeam on Twitter:

以及完整的分析文件

https://id-ransomware.blogspot.com/2020/05/locktaiwan-ransomware.html

#需要👽SIEM👽記得找竣盟科技唷

#誘捕專家Acalvio的 ShadowPlex平台竣盟科技也有代理喔

#資安情資請看OTX

#快去follow竣盟科技的粉絲專頁吧^^

*****本文歡迎轉載,但請註明出處。